Дослідники виявили новий Android-троян дистанційного доступу під назвою Mirax, активні кампанії якого вже охопили понад 220 000 акаунтів у Facebook, Instagram, Messenger і Threads — переважно серед іспаномовних користувачів Європи. Розповсюдження відбувається через рекламу в Meta Ads: шість оголошень просувають підроблені сторінки застосунків для стрімінгу спортивних трансляцій та фільмів. Після встановлення шкідливий застосунок надає зловмисникам повний контроль над пристроєм у реальному часі: перехоплення натискань клавіш, крадіжку фото, збір PIN-кодів і одноразових паролів через підроблені накладки поверх банківських та криптовалютних застосунків.

Mirax поширюється як приватний сервіс «шкідливе ПЗ як послуга» із щомісячною підпискою від $1 750 і трирічним тарифом за $2 500. Доступ до нього обмежений вузьким колом перевірених афіліатів — переважно російськомовними учасниками з підпільних форумів. Ключова особливість Mirax, яка вирізняє його серед аналогів, — вбудований SOCKS5-проксі-модуль: заражений смартфон перетворюється на так званий «residential proxy» — вузол, через який трафік зловмисника маршрутизується через реальну IP-адресу жертви. Це дозволяє обходити геолокаційні перевірки та антифрод-системи банків. APK-дроппер розміщується на GitHub і приховує справжнє шкідливе навантаження у зашифрованих файлах всередині застосунку.